Hadooken 惡意軟體

網路安全專家發現了一種針對 Linux 系統的新惡意軟體活動，重點是非法加密貨幣挖礦和傳播殭屍網路惡意軟體。該活動明確針對 Oracle Weblogic 伺服器，傳播名為 Hadooken 的惡意軟體變種。一旦執行，Hadoken 就會安裝Tsunami惡意軟體並啟動加密貨幣挖礦程式。此攻擊利用眾所周知的漏洞和系統錯誤配置（例如弱憑證）來獲得初始存取權限並在易受攻擊的實例上執行任意程式碼。

Hadooken惡意軟體的攻擊鏈

這種攻擊涉及部署兩個幾乎相同的有效負載：一個用 Python 編寫，另一個作為 shell 腳本。兩者都負責從遠端伺服器（“89.185.85.102”或“185.174.136.204”）取得 Hadooken 惡意軟體。

shell 腳本版本還會掃描包含 SSH 資料（例如使用者憑證、主機詳細資料和機密）的目錄，利用這些資訊來定位已知伺服器。然後，它在網路或連接的環境中橫向移動，進一步傳播 Hadooken 惡意軟體。

Hadooken 由兩個主要元件組成：加密貨幣挖礦程式和分散式阻斷服務 (DDoS) 殭屍網絡，稱為 Tsunami（又稱 Kaiten）。這個惡意軟體有攻擊 Kubernetes 叢集中的 Jenkins 和 Weblogic 服務的歷史。該惡意軟體還透過建立 cron 作業以不同的時間間隔運行加密礦工來確保受感染主機上的持久性。

為了逃避檢測，Hadooken 採用了多種策略，包括Base64 編碼的有效負載、使用“bash”和“java”等無害名稱偽裝礦工有效負載以混入合法進程，以及在執行後刪除工件以掩蓋其有害活動的任何痕跡。

與網路犯罪集團的聯繫

網路安全研究人員已確定 IP 位址 89.185.85.102 是在德國的託管公司 Aeza International LTD (AS210644) 下註冊的。 2024 年 2 月，該 IP 與 8220 Gang 發起的加密貨幣活動相關聯，該活動利用了 Apache Log4j 和 Atlassian Confluence Server 和 Data Center 中的漏洞。

第二個 IP 位址 185.174.136.204 雖然目前處於非活動狀態，但也與 Aeza Group Ltd. (AS216246) 關聯。正如 2024 年 7 月所述，Aeza 是一家防彈託管提供商，在莫斯科 M9 運營，在法蘭克福設有兩個資料中心。 Aeza 的快速成長和營運模式歸功於其招募與俄羅斯防彈託管服務相關的年輕開發人員，這些服務為網路犯罪活動提供了安全港。